Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Ваш личный шпион - tcpdump (часть 2) Актуальные базы 2GIS в форматах CSV,Excel,SQL
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Ваш личный шпион - tcpdump (часть 2)

09.12.2009

Эта статья является продолжением статьи "Ваш личный шпион - tcpdump"

Сегодня мы рассмотрим определенные параметры команды tcpdump для того, чтобы просматривать трафик по определенным протоколам, хостам  или портам, и узнаем как сохранить вывод tcpdump в файлы различных форматов для анализа при помощи других утилит.

Занесение данных из tcpdump в файл

tcpdump просто фиксирует заголовки пакета; у него нет возможностей создать отчет или произвести анализ. Если Вы хотите взять данные из пакета и проанализировать их, то лучше занести их в файл, затем использовать такие функции как Ethereal или Snort, чтобы это сделать. Как всегда в Linux, есть несколько способов сделать это. Используйте параметр -l, чтобы перевести вывод результатов в текстовый файл и на дисплей одновременно:

# tcpdump port 80 -l > webdump.txt & tail -f webdump.txt

Или так:

# tcpdump -l | tee webdump.txt

Это создает удобочитаемый текстовый файл ASCII. Другой же способ проделать то же самое - это сохранение исходных данных в двоичном файле. Это - великолепный вариант, когда Вы хотите сохранить огромный объем нефильтрованного трафика и проанализировать его позже при помощи функций Ethereal или Snort:

# tcpdump -w rawdump

Вы можете также переиграть(, т.е. изменить) название файла из tcpdump, указав параметр-r, и переадресовывая вывод к другому файлу:

# tcpdump -r rawdump > rawdump.txt

Операция tcpdump будет выполняется, пока Вы не остановите его сочетанием клавиш Ctrl+С, таким образом Вы можете захотеть установить предел для числа пакетов, после которого она остановила бы себя:

 # tcpdump -c1000 -w rawdump

Значения по умолчанию tcpdump NIC(центр сетевой информации) с наибольшим приоритетом, который обычно является eth0. Используйте параметр -i, чтобы разделить различные NIC по их приоритету:

# tcpdump -i eth1 -c1000 -w rawdump


Общие Команды

 
В tcpdump есть два параметра - "рабочие лошадки". Первый фиксирует трафик на определенном порту. Второй фиксирует трафик на определенном хосте в локальной сети. (См. Часть 1, "Концентраторы(Hubs) - Трепачи" и "Помехи в работе Коммутаторов(Switches)", там описано практическое применение.)

# tcpdump port nn

# tcpdump host 1.2.3.4

 
Вы можете выбрать несколько хостов в своей локальной сети, и фиксировать трафик, который проходит между ними:
 
# tcpdump host workstation4 and workstation11 and workstation13


Или фиксируйте весь трафик локальной сети между workstation4 и локальной сетью, за исключением workstation11:

# tcpdump workstation4 except workstation11

Может быть, полезно показать MAC адрес, особенно когда Вы отлаживаете сетевые неполадки, потому что MAC адрес - точнейшая идентификация для хоста. Используйте флаг -e:

 # tcpdump -e host workstation4 and workstation11 and workstation13

Да, Вы все верно прочли - Вы можете шпионить за трафиком, которым проходит между определенными компьютерами в Вашей локальной сети при условии, что все сетевые устройства подключены через обычный HUB.


Фильтрация отображаемых пакетов

Значение по умолчанию должно фиксировать все пакеты. Вы можете фиксировать все пакеты кроме тех, что идут  для определенных портов, как например:

# tcpdump not port 110 and not port 25 and not port 53 and not port 22

Полезная опция - к функции declutter дисплея с флагом -t, который подавляет timestamps:

# tcpdump -t not port 110 and not port 25

Вы можете реально ускорить производительность и уменьшить помехи в будущем, выключая поиск сервера имен доменов с флагом -n:

# tcpdump -tn not port 110 and not port 25

Или Вы можете увеличить количество данных, которые будут  показаны с помощью -v и -vv- флагов.  Причем -vv является самым подробным:

# tcpdump -vv

Вот пример того, что Вы будете видеть с - vv:


192.168.1.5.35401 > 69.56.234.130.995: R [tcp sum ok] 394522529:394522529(0) win 0 (DF) (ttl 64, id 684, len 40)
12.169.174.5.1985 > 224.0.0.2.1985: [udp sum ok] udp 20 [tos 0xc0] (ttl 2, id 0, len 48)

 
Описание отображаемых полей:

checksum -Контрольная сумма вычислена для каждого сегмента; при ее помощи отказываются от поврежденных сегментов.

ttl (ТТЛ-схема) пришло ее время. Стандартная ТТЛ-схема составляет две минуты; если пакет является все еще плавающим (недоставленным) после двух минут, от него отказываются. В этом примере предел составляет 64 секунды.

id (система обнаружения атак) - идентификационный номер сегмента, помогающая в повторной сборке датаграммных фрагментов.

tos (вершина стека) - тип сервиса, содержит значения для старшинства, задержки, пропускной способности, и надежности. Приложения могут теоретически установить эти значения; например, потоковое видео требует низкое время ожидания, которое является значением задержки. Практически, это поле главным образом бесполезно в IPv4, потому что маршрутизаторы могут быть конфигурированы, чтобы проигнорировать поле TOS, и нет никакого способа провести в жизнь важное использование этого сервиса. IPv6 обещает делать это значимым, но это снова ложь из-за проблем в реализации; не стандарт, так сказать.

len - длина, в байтах, сегмента.


Фильтрация Протоколов

 
Очень полезная функция tcpdump - это способность фильтровать различные протоколы. Предположите, что Вы хотите видеть только udp трафик:

# tcpdump udp

tcpdump распознает ключевые слова ip, igmp, tcp, udp и icmp. Вы можете также определить любой протокол, имеющийся в /etc/protocols при использовании proto спецификатора. Этот пример фиксирует ospf (Open Shortest Path First(Откройте Самый короткий Путь Сначала)), трафик, который полезен для <подслушивания> сигналов в маршрутизаторах:

# tcpdump ip proto OSPFIGP

Чтобы фиксировать трафик на определенном хосте и ограничить в соответствии с протоколом, сделайте так:

# tcpdump host server02 and ip

# tcpdump host server03 and not udp

# tcpdump host server03 and ip and igmp and not ud

 

Изнанка

 

Когда Вы смотрите на то, что пробегается через провода после обычной операции -  нажатия на URL-ссылку, или проверку электронной почты, удивительно, что это работает вообще. И это в наполненные шпионящим ПО времена :)
Одной из самых полезных вещей, которые Вы можете сделать со сниффером пакетом, является мониторинг трафика, приходящего из устройств вашей сети.

Ничто не может быть скрыто


© Special for HackZone.RU by DiMAN

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Системное администрирование
Опубликовал: DiMan
Просмотров: 22012
Проголосовало через SMS: 0
Ключевые слова: tcpdump, (найти похожие документы)
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Самозащита от вируса Petya
  • Google Pixel взломали за 60 секунд
  • В CMS Joomla обнаружена критическая 0-day уязвимость
  • ФБР не смогло взломать протокол шифрования переписки террористов ...
  • Полиция обыскала дом предполагаемого создателя платежной системы ...
  • Google: квантовый ПК будет в 100 млн раз быстрее стандартных чипо...
  • "Лаборатория Касперского" констатирует усиление атак кибергруппир...
  • Microsoft Edge откроет исходные коды ChakraCore
  • Anonymous объявили 11 декабря «днём троллинга» ИГИЛ
  • Миллионы телевизоров, смартфонов и маршрутизаторов оказались уязв...

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Ищу работу » Re: Качественный подбор паролей к почтам. Работаем с 2011 го...
  • Разное / Предложения работы » Взлом инста, логин с не активной страницы
  • Взлом и безопасность / Программы » Нужна помощь доброго взломщика программы Quot pro
  • Взлом и безопасность / Тест на уязвимости » Прошу проверить сайты на одном сервере.
  • Взлом и безопасность / Программы » Прошу взломать программу
  • Взлом и безопасность / Программы » Re: Нужно взломать две программы power-equilab и piosolver
  • Разное / Предложения работы » Konkurenti bombyat mou reklamu, ishu pomosch v nakazanii !
  • Разное / Продам, отдам » Закрыто
  • Взлом и безопасность / Фрикинг » Re: Нужно отвязать скрипт от лицензии. кто поможет?
  • Взлом и безопасность / Фрикинг » Нужно отвязать скрипт от лицензии. кто поможет?

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 2007-2012. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    Ya-Cyt службы мониторинга серверов

    #{title}

    #{text}

    x

    #{title}

    #{text}